Wechsel der Rechtsgrundlage nach Widerruf der Einwilligung

Liebe Leser,

im Rahmen einer klinischen Studie wurden Gesundheitsdaten eines Probanden erhoben. Bei der Erhebung wurde der Proband gemäß Art. 13 Abs. 1 lit. c DSGVO dahingehend informiert, dass die Verarbeitung seiner Daten auf Basis seiner Einwilligung erfolgt. Monate später will der Proband seine Einwilligung widerrufen – nun aber teilt der Verantwortliche mit, das er die Daten des Probanden nach Art. 9 Abs. 2 DSGVO auf einer alternativen Rechtsgrundlage weiterhin verarbeiten wird. Auf diesen Wechsel war bei der Erhebung nicht hingewiesen worden.

Ist ein solcher Wechsel der Rechtsgrundlage rechtmäßig?

Insbesondere interessiert mich, ob sich ein klares Verbot oder eine klare Erlaubnis dieses Vorgehens aus der DSGVO – etwa aus Art. 5 Abs. 1 lit. a oder Art. 13 Abs. 1 lit. c DSGVO – eindeutig ableiten lässt, oder ob es sich um eine offene Auslegungsfrage handelt, zu der Aufsichtsbehörden oder Gerichte noch keine abschließende Klärung herbeigeführt haben.

Es ist… nicht unmöglich. Aber warum soll es möglich = zulässig sein?

Art. 9 Abs. 2 ist keine eigenständige Rechtsgrundlage, sondern führt möglcihe Ausnahmen vom Verarbeitungvserbot für Gesundheitsdaten etc. auf. Die Verarbeitung muss erst mal für irgendwas aus Art. 6 Abs. 1 zulässig sein.

Ursprünglich war das wohl die Einwilligung. (Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO; wenn sich die Einwilligung ausdrücklich auch auf Gesundheitsdaten bezog.)

Wird die Einwilligung widerrufen, fällt die Erlaubnis aus Art. 6 u. 9 weg. Die Verarbeitung ist zu beenden (also auch die Daten zu löchen), wenn keine weiteren Rechtsgrundlagen bestehen. Wäre ja möglich, dass die Verarbeitung zusätzlich z. B. zur Vertragserfüllung erforderlich war (Art. 6 Abs. 1 lit. b), und zur medizinischen Diagnostik und Behandlung verarbeitet wird (Art. 9 Abs. 2 lit. h), etwa im Rahmen eines ärztlichen Behandlungsvertrags. Der eingewilligte Forschungszweck ist dann aber nicht mehr gedeckt.

Man könnte prüfen, ob eine Zweckänderung mit den urnsprünglichen (angegebenen) Zwecken vereinbar ist (Art. 6 Abs. 4 DSGVO) und auf welche Rechtsgrundlage (in Art. 6 UND Art. 9) sich das stellen lässt.

Sollen das für Art. 6 “berechtigte Interessen” werden, kann die überraschende Änderung der Rechtsgrundlage oder der Verarbeitungszwecke diese Rechtsgrundlage ausschließen, falls das Grundrechte und Grundfreiheiten unverhältnismäßig strapaziert. Evtl. ist die Interessenabwägung besser aufgestellt, wenn man an geeigneten Schräubchen dreht (z. B. Datenminimierung, Pseudonymisierung, zusätzliche Transparenz).

Andere Meinungen?

D., der bei Forschung immer empfiehlt, eingewilligte Daten so schnell wie möglich auch in einer anonymisierten Variante abzubilden, um nach dem Widerruf wenigstens mit einem eingeschränkten Datensatz weiter arbeiten zu dürfen.

Wie machst Du das?

Anonymisierung ist Verarbeitung. Um anonymisieren zu dürfen, braucht der Verantwortliche eine Rechtsgrundlage für den Anonymisierungsschritt.

Außerdem ist echte Anonymisierung medizinischer Forschungsdaten nach aktuellem Stand der Technik praktisch unmöglich. Entweder die Daten sind gut anonymisiert – dann sind sie für die Forschung weitgehend wertlos. Oder sie sind für wissenschaftliche Analysen geeignet – dann sind sie nicht wirklich anonym.

Diese Frage wurde doch, ein wenig konkreter, vor gar nicht allzu langer Zeit schon einmal erörtert…..

Behandlungsdaten (=Gesundheitsdaten), die im Rahmen klinischer Studien verwendet werden sollen (und ggf. sogar mit Dritten geteilt werden sollen) stellen immer eine Zweckänderung dar, die einen Erlaubnistatbestand erfordert. Das ist in der Regel eine Einwilligung gem. Art. 6 Abs. (1) lit. a) i.V.m. Art. 9 Abs. (2) lit. a).
Vor jeder Verarbeitung müssen Betroffene informiert werden. Hierzu dient das Dokument Patienteninformation und Einwilligungserklärung. Aus diesem Dokument muss auch hervorgehen, was im Falle des Widerrufs der Einwilligung mit den bereits erhobenen Daten passieren wird.
Gem. Art. 17 Abs. (3) lit. c), Art. 89 Abs. (2) i.V.m. § 27 Abs. (2) können Betroffenenrechte sogar beschränkt werden, wenn diese Rechte die Verwirklichung der Forschungszwecke unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Forschungszwecke notwendig ist.
Darüber muss jedoch vorher informiert werden.

Was bedeutet “vorher”?
Genügt es, wenn der Verantwortliche nach Widerruf und vor Weiterverarbeitung auf alternativer Rechtsgrundlage den Betroffenen informiert?

Im vorliegenden Fall wurden die Daten nicht im Rahmen einer Behandlung erhoben, sondern für die Forschung.

“vorher” bedeutet vor der Unterschrift der Einwilligung. Wie sonst soll über eine Verarbeitung transparent informiert werden?

Nur zum Verständnis:
Die Forschungseinrichtung hat aktiv Probanden gesucht und diese haben sich bei der Forschungseinrichtung zur Teilnahme gemeldet?

Ja, so ist es. Ich selbst bin in diesem Fall der Betroffene.

Im wissenschaftlichen Studienprotokoll steht folgende Aussage:

Im Falle eines Widerrufs der Einwilligung zur Studie durch den/die Teilnehmerin einschließlich der weiteren Datenerhebung werden ab dem Widerrufszeitpunkt keine weiteren Daten erhoben. Die bisher erhobenen Daten werden innerhalb der Studie weiterverwendet und ausgewertet. Bricht eine Teilnehmer*in nur die Studie ab, können die für die Studie erforderlichen Daten weiterhin erhoben und verwendet werden.

Unklar ist, ob “Widerruf der Einwilligung zur Studie” Widerruf der Einwilligung in die Datenverarbeitung bedeutet. Das Studienprotokoll wird aber regulär nicht an Probanden ausgehändigt.

In der Probandeninformation heißt es zur Widerrufsbelehrung:

Die Verarbeitung Ihrer personenbezogenen Daten ist nur mit Ihrer Einwilligung rechtmäßig. Sie haben das Recht die Verarbeitung Ihre Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten jederzeit zu widerrufen. Es dürfen jedoch, die bis zu diesem Zeitpunkt erhobenen Daten durch die in der Einwilligungserklärung genannten Stellen verarbeitet werden.

Nach meinem Verständnis wird damit angekündigt, dass die Daten auch nach Widerruf weiterhin verarbeitet werden.

Auf meine Nachfrage beim Verantwortlichen erklärt der Datenschutzmanager des Universitätsklinikums, dass ich meine Einwilligung widerrufen könne und meine Daten nach Widerruf gelöscht werden. Gleichzeitig erklärte er dass eine Weiterverarbeitung nach Widerruf rechtmäßig sei, wenn eine andere Rechtsgrundlage gemäß Artikel 6 Absatz 1 bzw. Artikel 9 Absatz 2 DSGVO besteht. Er nannte zwar die Öffnungsklausel in Art. 9 Abs. 2 DSGVO, aber keine konkrete Rechtsgrundlage im nationalen Recht. Er lässt mich im Unklaren, ob tatsächlich eine Rechtsgrundlage für die Datenverarbeitung nach Widerruf existiert und ja, welche das wäre.

Ich gehe davon aus, dass eine Einwilligung für Forschung erteilt wird. Dann kann man in diesem Rahmen als zulässige Verarbeitung eine anonymisierte Variante der Daten erstellen.

Ob anonymisierte Daten dann “wertlos” sind würde von der Fragestellung abhängen. Zumindest hätte man einen strukturierten Dummy, der sich mitzählen lässt.

Das ist sogar eine Auflage aus § 27 Abs. (3) fordert grundsätzlich, dass Forschungsdaten anonymisiert werden müssen, sobald das nach dem Forschungszweck möglich ist.

Steht in der Probandeninformation auch etwas zum Thema, was bei Widerruf der Einwilligung mit den bis Zeitpunkt des Widerrufs rechtmäßig erhobenen Daten passiert?
Das Studienprotokoll selbst können Probanden in der Regel nicht einsehen.

Danke für diesen Hinweis. Müssen Probanden zum Zeitpunkt der Datenerhebung darüber informiert werden? Anonymisierung ist ja ein Verarbeitungszweck?

Dies ist die gesamte Auskunft zur Datenverarbeitung in der Probandeninformation. Für mich ist nicht ersichtlich, was nach Widerruf der Einwilligung mit meinen Daten passiert. Ich finde nichtmal eine Angabe zur Speicherdauer. Meine Daten werden nicht nur für die Studie genutzt, sondern in ein riesiges Open-Science-Netzwerk eingespeist und für alle möglichen wissenschafltichen Forschungszwecke verwendet.

6. Was geschieht mit meinen Daten? Die Ergebnisse der Studie werden ggfs. – auch hier ohne Bezug zu Ihrer Person – in einer Fachzeitschrift oder auf medizinischen Kongressen veröffentlicht. Ihre personenbezogenen Daten werden verschlüsselt (pseudonymisiert). Die Daten sind gegen unbefugten Zugriff gesichert. Eine Entschlüsselung erfolgt nur unter den vom Gesetz vorgeschriebenen Voraussetzungen.

7. Datenschutzerklärung Alle Daten, die im Rahmen dieser Studie gewonnen und gespeichert werden, unterliegen den Bestimmungen des Datenschutzes und sind vertraulich. Die Studienleitung ist verantwortlich für die Datenverarbeitung. Nur befugte Mitarbeiter bzw. Mitarbeiterinnen haben Zugang zu diesen Daten. Die medizinischen und technischen Daten werden in einer pseudonymisierten Form elektronisch gespeichert und ausgewertet. Dabei wird Ihr Name durch Code aus Buchstaben und Zahlen ersetzt, der keinen Rückschluss auf Ihre Person zulässt. Die Zuordnung kann dann nur noch von der/dem Studienärztin/Studienarzt bzw. eine von ihm/ihr beauftragten Person über eine Liste, die gesichert in der Klinik verwahrt wird, erfolgen. Im Falle einer Veröffentlichung der Studienergebnisse bleibt die Vertraulichkeit Ihrer persönlichen Daten ebenfalls unter Beachtung des Bundesdatenschutzgesetzes gewährleistet. Die Studienergebnisse werden vollständig anonymisiert, d.h. ohne Bezug zu Ihrer Person veröffentlicht. Wenn Sie von der Studie zurücktreten, werden keine weiteren Daten von Ihnen erhoben. Ihre bereits erhobenen Daten werden weiterverwendet bzw. auf Ihren Wunsch gemäß DSGVO gelöscht.

8. Versicherungsschutz (…)

9. Einverständnis Ihre Teilnahme an der Studie ist freiwillig. Sie haben jederzeit die Möglichkeit, Ihre Zustimmung zur Studie zu widerrufen, ohne dass Ihnen dadurch Nachteile entstehen. Sie können die telefonische Befragung bzw. das Ausfüllen der Fragebögen unterbrechen und eine Pause einlegen, falls dies notwendig sein sollte. Falls Sie noch weitere Fragen zur Studie haben, können Sie diese gerne an unsere Mitarbeiterinnen/Mitarbeiter richten. Falls Sie einverstanden sind, bitten wir Sie um Ihre schriftliche Einwilligung auf dem beigefügten Formular.

Zusätzlich werden Sie hiermit über die in der Datenschutzgrundverordnung (DSGVO) festgelegten Rechte informiert (Artikel 12FF. DSGVO)

10. Rechtsgrundlage

Die Rechtsgrundlage zur Verarbeitung der Sie betreffenden personenbezogenen Daten bilden bei klinischen Studien Ihre freiwillige schriftliche Einwilligung gemäß DSGVO sowie die Deklaration von Helsinki (Erklärung des Weltärztebundes zu den ethischen Grundsätzen für die medizinische Forschung am Menschen) und die Leitlinie für Gute Klinische Praxis.

Bezüglich Ihrer Daten haben Sie folgende Rechte:

Recht auf Auskunft Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten, die im Rahmen der Studie erhoben und verarbeitet werden (Aushändigen einer kostenfreien Kopie).

Recht auf Berichtigung Sie haben das Recht, Sie betreffende unrichtige personenbezogene Daten berichtigen zu lassen.

Recht auf Löschung Sie haben das Recht auf Löschung Sie betreffender personenbezogener Daten, z. B. wenn diese Daten für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind.

Recht auf Einschränkung der Verarbeitung Unter bestimmten Voraussetzungen haben Sie das Recht, die Einschränkung der Verarbeitung zu verlangen, d.h. die Daten dürfen nur gespeichert, nicht verarbeitet werden. Dies müssen Sie beantragen. Wenden Sie sich hierzu bitte an die Leiter der Studie oder an den Datenschutzbeauftragten des Prüfzentrums.

Recht auf Datenübertragbarkeit Sie haben das Recht, die sie betreffenden personenbezogenen Daten, die sie den Leitern der Studie bereitgestellt haben, zu erhalten. Damit können Sie beantragen, dass diese Daten Ihnen übermittelt werden.

Widerspruchsrecht Sie haben das Recht, jederzeit gegen konkrete Entscheidungen oder Maßnahmen zur Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen. Eine solche Verarbeitung findet anschließend grundsätzlich nicht mehr statt.

Einwilligung zur Verarbeitung personenbezogener Daten und Recht auf Widerruf dieser Einwilligung Die Verarbeitung ihrer personenbezogenen Daten ist nur mit Ihrer Einwilligung rechtmäßig. Sie haben das Recht, ihre Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen. Es dürfen jedoch die bis zu diesem Zeitpunkt erhobenen Daten durch die in der Patienteninformation und Einwilligungserklärung genannten Stellen verarbeitet werden. Möchten Sie eines dieser Rechte in Anspruch nehmen, wenden Sie sich bitte an die Leiterin der Studie oder an den Datenschutzbeauftragten des Universitätsklinikums (…). Außerdem haben Sie das Recht, Beschwerde bei der/den Aufsichtsbehörde/n einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt

Der kursiv hervorgehobene Satz sagt im übertragenen Sinn, dass die bis zum Zeitpunkt es Widerrufs rechtmäßig erhobenen Daten zu den Zwecken der Studie weiterverarbeitet werden dürfen.

Warum der Verantwortliche eine alternative Rechtsgrundlage aus dem Hut zaubert wird nur dieser selbst wisse. Die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten wurde durch Erlaubnistatbestand Art. 9 Abs. (2) lit. a) hergestellt. Auch wenn eine Einwilligung widerrufen wird dürfen unter bestimmten Voraussetzungen (Art. 17 Abs. (3) lit. c), Art. 89 Abs. (2) i.V.m. § 27 Abs. (2)) rechtmäßig erhobene Daten weiterverarbeitet werden.

Die Eingangsfrage lautet: Ist ein Wechsel der Rechtsgrundlage rechtmäßig, wenn der Betroffene bei Erhebung der Daten nicht darüber informiert wurde?

Wie ich schon geschrieben habe: In der Verarbeitungsinformation ist eine Formulierung enthalten, die klar aussagt, dass die bereits erhobenen Daten nach einem Widerruf der Einwilligung weiter verarbeitet werden dürfen.

Muss dazu nicht gemäß Art. 13 DSGVO die Rechtsgrundlage angegeben werden? In der Probandeninformation steht ausdrücklich: Die Verarbeitung ist nur mit Einwilligung rechtmäßig. Wer das liest, kann nicht damit rechnen, dass sein Löschrecht nach Widerruf z.B. durch § 27 BDSG eingeschränkt wird.

Die Rechtsgrundlage/Rechtmäßigkeit ist doch angegeben, die Einwilligung. Nach Widerruf der Einwilligung dürfen keine weiteren Daten mehr erhoben und verarbeitet werden.
Mit dem Widerruf werden die rechtmäßig erhobenen Daten aber nicht zu unrechtmäßigen Daten.
Dass die bis zum Widerruf (rechtmäßig) erhobenen Daten nach dem Widerruf zu Zwecken der Studie weiterverwendet werden dürfen, darüber wurde informiert.